Le comité européen de la protection des données adopte un avis concernant le projet de décision d’adéquation relatif à la Corée du Sud

27 September 2021 EDPB

Bruxelles, le 27 septembre — Le comité européen de la protection des données a adopté son avis sur le projet de décision d’adéquation de la Commission européenne concernant la République de Corée. Le comité européen de la protection des données s’est concentré sur les aspects généraux du RGPD et l’accès des autorités publiques aux données à caractère personnel transférées de l’Espace économique européen (EEE) à la République de Corée à des fins répressives et de sécurité nationale, y compris les voies de recours disponibles pour les particuliers au sein de l’EEE. Le comité européen de la protection des données a également évalué le caractère effectif de l’application des garanties prévues par le cadre juridique coréen.

Andrea Jelinek, présidente du comité européen de la protection des données, a commenté la décision en ces termes: «Cette décision d’adéquation revêt une importance capitale car elle s’appliquera aux transferts tant dans le secteur public que dans le secteur privé. Un niveau élevé de protection des données est essentiel pour consolider les relations que nous entretenons de longue date avec la Corée du Sud et protéger les droits et libertés des personnes. Bien que nous reconnaissions que, par ses aspects principaux, le cadre de protection des données en Corée du Sud est pour l’essentiel équivalent à celui de l’Union européenne, nous demandons à la Commission d’apporter davantage de clarté sur certains points et de surveiller de près la situation.»

En ce qui concerne le cadre général de protection des données, le comité constate que les cadres de protection des données de l’UE et de la Corée du Sud sont alignés dans des domaines cruciaux en ce qui concerne certaines dispositions essentielles, telles que:

  • les concepts en matière de protection des données (par exemple, les informations à caractère personnel, le traitement, les personnes concernées);
  • les fondements de la licéité du traitement à des fins légitimes;
  • la limitation de la finalité;
  • la conservation des données, la sécurité et la confidentialité, et
  • la transparence.

Le comité européen de la protection des données salue les efforts déployés par la Commission européenne et les autorités coréennes en vue de garantir que la République de Corée offre un niveau de protection des données en substance équivalent à celui du RGPD. Cela concerne, par exemple, l’adoption de directives par l’autorité sud-coréenne de la protection des données (PIPC), qui visent à combler les lacunes entre le RGPD et le cadre coréen de protection des données, comme les protections supplémentaires fournies par la directive n° 2021-1.

Le comité invite la Commission européenne à fournir de plus amples informations sur le caractère contraignant, l’applicabilité et la validité de la directive n° 2021-1, et recommande un suivi attentif de ces aspects dans la pratique.

En ce qui concerne l’accès des autorités publiques aux données transférées vers la République de Corée, le comité relève que les dispositions de la législation sur la protection des informations à caractère personnel (PIPA) s’appliquent sans restriction dans le domaine de l’action répressive. Le comité note également que bien que les principes de base de la PIPA, ainsi que les garanties fondamentales des droits des personnes concernées et les dispositions relatives à la supervision, à l’application et aux recours, s’appliquent effectivement à l’accès et à l’utilisation des données personnelles par les autorités nationales chargées de la sécurité, l’ensemble de dispositions inscrites dans la PIPA pour réglementer le traitement des données dans le domaine de la sécurité nationale est plus limité qu’au sein de l’UE. La constitution sud-coréenne consacre également des principes essentiels de protection des données qui s’appliquent à l’accès aux données personnelles par les autorités publiques dans les domaines de l’action répressive et de la sécurité nationale. Le comité souscrit en outre à la conclusion de la Commission selon laquelle la Corée du Sud peut être considérée comme disposant d’un système de supervision indépendant et effectif.

Enfin, en ce qui concerne les recours effectifs et les droits de réparation, le comité invite la Commission à faire la clarté sur les exigences de fond et/ou de procédure, telles que la charge de la preuve, auxquelles est soumise la saisine du PIPC ou toute action devant une juridiction, et à préciser si les individus de l’UE seraient en mesure de satisfaire à ces conditions préalables.

Pour son évaluation, le comité a utilisé le référentiel d’adéquation du RGPD et les recommandations 2/2020 du comité européen de la protection des données sur les garanties essentielles européennes pour les mesures de surveillance, ainsi que la jurisprudence établie de la CJUE et de la CEDH concernant l’accès par les autorités publiques.

 

Précision à l’attention des rédactions:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications nécessaires concernant leur contenu juridique, leur rédaction et leur mise en forme, et sont publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.